Abstract : | Είναι ευρέως αποδεκτό ότι όσο εξελίσσονται οι εφαρμογές ιστού (web applications), τόσο το πρόβλημα της ασφάλειας γίνεται πολυσύνθετο. Οι πιθανές αδυναμίες, που υπάρχουν σε αυτές μπορεί να επιτρέψουν σε επίδοξους εισβολείς να παραβιάσουν την ασφάλεια του Πληροφοριακού Συστήματος ενός οργανισμού. Είναι ελάχιστες οι εταιρείες, οι οποίες στην προσπάθεια τους να διαθέτουν συνεχώς νέο λογισμικό εφαρμογών στην αγορά, κάνουν επισταμένους ελέγχους ασφαλείας στα προϊόντα τους. Έτσι, ακόμη και αν υπάρχει προστασία με τη χρήση των καλύτερων συμβατικών συστημάτων ασφάλειας, ο κάθε οργανισμός είναι ευάλωτος σε επιθέσεις μέσω των εφαρμογών ιστού. Οι προγραμματιστές και οι υπεύθυνοι ασφαλείας οφείλουν να είναι ικανοί να ανιχνεύουν την ύπαρξη και τη σοβαρότητα των αδυναμιών, που υπάρχουν στις εφαρμογές ιστού και να προτείνουν τα κατάλληλα μέτρα, που θα παρέχουν προστασία από πιθανές παραβιάσεις ασφάλειας. Μία τυπική διαδικασία περιλαμβάνει τον έλεγχο ασφάλειας όλων των εφαρμογών, που τρέχουν σε όλα τα συνδεδεμένα με τα Web συστήματα και την εξέταση κάθε γραμμής κώδικα των εφαρμογών για πιθανές αδυναμίες ασφαλείας.Αντικείμενο της παρούσας πτυχιακής εργασίας αποτελεί η διερεύνηση και αξιολόγηση, των κυριότερων ευπαθειών, κινδύνων και απειλών προτείνοντας ως αντίμετρο ασφαλείας για την προστασία των διαδικτυακών στατικών εφαρμογών στο διαδίκτυο το «threat modeling» και το «source code audit». Εν ολίγοις η εργασία αναδεικνύει τις ιδιαιτερότητες των γνωστών ευπαθειών, τις επιπτώσεις και τους κινδύνους από την εκδήλωση των απειλών. Καταδεικνύει τις τεχνικές / πολιτικές μεθοδολογίες εξάλειψης των ευπαθειών και ολοκληρώνει με την αξιολόγηση των ευπαθειών με δύο γνωστά εργαλεία, το IriusRisk και το SonarQube. It is widely accepted that as web applications evolve, the security problem becomes more complex. The potential weaknesses that exist in them can allow would-be intruders to violate the security of an organization's Information System. Very few companies, in their effort to constantly have new application software on the market, make careful security checks on their products. Thus, even if there is protection by using the best conventional security systems, any organization is vulnerable to attacks through web applications. Developers and security managers should be able to detect the existence and severity of vulnerabilities in web applications and suggest appropriate measures to protect against potential security breaches. A standard procedure involves checking the security of all applications running on all Web-connected systems and examining each line of application code for possible security vulnerabilities.The object of this dissertation is the investigation and evaluation of the main vulnerabilities, risks and threats, proposing as a security countermeasure for the protection of online static applications on the Internet "threat modeling" and "source code audit". In short, the work highlights the specifics of the known vulnerabilities, the consequences, and the risks from the occurrence of threats. Demonstrates technical / policy vulnerability elimination methodologies and completes vulnerability assessment with two well-known tools, IriusRisk and SonarQube.
|
---|